Winstar
20-04-2009, 18:41
Salve, se non trovo la soluzione a questo problema entro stanotte il mio provider mi chiudera' il mio server Linux :cry:
Dunque: il problema è questo: su questo server erogo un servizio di chat. Dei concorrenti rosiconi mi inviano ogni sera dei pesantissimi syn flood. Il firewall del provider, l'unico che ho trovato, fa un lavoro egregio e la mia chat non cade. Tuttavia ho un altro problema quasi piu grave: il mio server risponde ai pacchetti SYN provenienti da ip random spoofati, con degli ACK. Gli indirizzi che si vedono arrivare i miei ACK non sono molto contenti, e mandano delle segnalazioni di port scanning al mio provider, che si sta rompendo le scatole...
Ora, dato che gli attacchi provengono SEMPRE dalle porte 3072 e 1024, io ho pensato di filtrare tali pacchetti con iptables. Ho settato le seguenti regole:
iptables -I INPUT -p tcp --sport 1024 -j DROP
iptables -I INPUT -p tcp --sport 3072 -j DROP
e, tanto per abbondare,
iptables -I OUTPUT -p tcp --dport 1024 -j DROP
iptables -I OUTPUT -p tcp --dport 3072 -j DROP
MA ho il sospetto che il mio server risponda ancora al flood. Come posso fare? Vi prego aiutatemi. :muro:
Dunque: il problema è questo: su questo server erogo un servizio di chat. Dei concorrenti rosiconi mi inviano ogni sera dei pesantissimi syn flood. Il firewall del provider, l'unico che ho trovato, fa un lavoro egregio e la mia chat non cade. Tuttavia ho un altro problema quasi piu grave: il mio server risponde ai pacchetti SYN provenienti da ip random spoofati, con degli ACK. Gli indirizzi che si vedono arrivare i miei ACK non sono molto contenti, e mandano delle segnalazioni di port scanning al mio provider, che si sta rompendo le scatole...
Ora, dato che gli attacchi provengono SEMPRE dalle porte 3072 e 1024, io ho pensato di filtrare tali pacchetti con iptables. Ho settato le seguenti regole:
iptables -I INPUT -p tcp --sport 1024 -j DROP
iptables -I INPUT -p tcp --sport 3072 -j DROP
e, tanto per abbondare,
iptables -I OUTPUT -p tcp --dport 1024 -j DROP
iptables -I OUTPUT -p tcp --dport 3072 -j DROP
MA ho il sospetto che il mio server risponda ancora al flood. Come posso fare? Vi prego aiutatemi. :muro: